TOP-10 индикаторов компрометации (IoC) по версии Trustwave и рекомендации по реагированию на них
Индикаторов компрометации (Indicators of Compormise, IoC) – это информация, которую можно использовать для обнаружения потенциально скомпрометированных систем.
1. Аномальная активность учетной записи.
Отключить или удалить
ненужные учетные записи. Использовать сложные пароли и двухфакторную
аутентификацию.
2. Подозрительный исходящий трафик. Закрыть ненужные порты.
3. Появление новых и/или подозрительных файлов. Сделать копию подозрительных файлов для их последующего анализа, а затем удалить или
поместить файлы в карантин.
4. Географические аномалии в учетных записях
(прим. авт. – вход в систему c ip, находящего в другой стране/регионе). Отключить
или удалить соответствующие учетные
записи. По возможности отключить
удаленный доступ к системе.
5. Подозрительные изменения в реестре Windows.
Сделать образ системы для последующего анализа. Полное восстановление системы.
6. Признаки, указывающие на подделку логов.
Сделать резервную копию логов, проверить
их на наличие фальсификации и оповестить
соответствующих сотрудников.
7. Признаки, указывающие на вмешательство в работу антивируса. Обновить и запустить антивирусное сканирование,
сделать резервное копирование логов антивируса и просмотреть их.
8. Аномальная активность служб (добавление служб, остановка или приостановка). Удалить
или отключить аномальные службы и связанные с ними исполняемые
файлы.
9. Сбои при обработке платежей
(электронная коммерция). Просмотр и восстановление
программного обеспечения платежного шлюза
до заводских настроек. Убедиться, что
никакой вредоносный код не был добавлен
в программу электронной коммерции.
10. Несанкционированный доступ к консоли администрирования или панели
веб-администратора (электронная коммерция). Изменить пароль в соответствии
с требованиями к стойкости пароля. Разрешить доступ только из доверенной сети.
Комментариев нет:
Отправить комментарий